吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11379|回复: 14
收起左侧

[移动样本分析] Android一枚简单锁机样本分析

  [复制链接]
h080294 发表于 2018-12-23 01:58
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
看到最近有使用Android的伙伴中了安徒生的锁机,原贴是https://www.52pojie.cn/thread-841127-1-1.html,一时好奇于是简单的看了下该软件。

一、找到目标应用

这类软件通常会在系统目录中植入一个apk来执行锁机代码。我们通过对比很容易就发现,安装之后多了一个包名为com.ats.yr的软件。

利用adb命令找到该软件目录,并把它pull到本地进行分析。

如果想要清除该锁机软件,直接删除掉该文件即可,然后卸掉原来的非官方的软件后,重启设备。不过这里为了分析它一下,就先锁着吧。。。

二、开始分析

1、反编译

首先我们看到了一堆难以理解的方法名称。

2、为了便于识别,把一些关键方法重命名

虽然这些文字看不懂,但是通过观察发现基本所有的string都是用下面方法解析的,这样我们用这里作为突破口来进行静态分析。

经过一系列的整理,把难以识别的关键方法和类重新名了下,发现该锁机样本一共有4层。这里我分别重命名为了MyListener1-4

3、首先看第一层

逻辑不难,先计算了v1 = sha1(md5("中奖号码")).去掉字母。后面第二个判断有点长,可以拆分一下:
1、md5(sha1(md5(密码前3位))) + 密码后面所有的位
2、3088aab53a8c14c2a7831cab4c9fe616 + v1前9位
判断1和2是否相等,如果相等就跳转到第二层

4、第二层

v0为md5(中奖号码)去字母,
取密码的头3位做3次md5,然后判断密码后半部分是否和v0相等。

5、第三层

解密方法与第二层相同

6、第四层

第四层逻辑比较简单,不用分析,直接调用他的代码计算一下中奖号码就可以了。

简单示范一下,例如中奖号码是380,则第四层解密为GGGJJ

三、总结

第一层解密:

关键md5值:3088aab53a8c14c2a7831cab4c9fe616
根据md5值“3088aab53a8c14c2a7831cab4c9fe616”,知道密码开头3位为固定的774。(这里这个774可以撞出来,也可以自己跑一下,因为只有3位,很快就能跑出来)
密码的后半部分为sha(md5(中奖号码)),然后取其中的数字的前9位(字母不要)。

第二层和第三层解密是一样的:

关键md5值:7063eeced8dada899a5231e272d0ba07
根据md5值“7063eeced8dada899a5231e272d0ba07”,知道密码开头3位为固定的944
密码后半部分为md5(中奖号码),然后再去掉字符串中的字母

第四层比较简单:

逻辑就是利用中奖号码计算出一个字符串,直接调用他的方法就能完成解密,过程就不分析了。

软件强烈建议在官方和正规渠道下载



到这里,已经成功的进入到了正常的页面。后面先删掉/system/priv-app/antusheng.apk,然后在卸载原异常应用,至此简单的分析就完成了。

免费评分

参与人数 4威望 +1 吾爱币 +13 热心值 +4 收起 理由
siuhoapdou + 1 + 1 用心讨论,共获提升!
qtfreet00 + 1 + 9 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
孤云 + 2 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

HDxian 发表于 2018-12-23 02:35
沙发,楼主辛苦了。虽然我看不懂,但是看着大神的分析就觉得很过瘾。手机有价 资料无价,下载软件还是小心为上。
望烽烟 发表于 2018-12-23 09:34
frank3100 发表于 2018-12-23 14:23
Jack强 发表于 2018-12-23 15:06
虽然不是很懂,但还是学到了东西。
kentish 发表于 2018-12-23 16:02
谢谢楼主分析,现在哪个软件市场安全的,自己不要乱装东西就好了
tmsq 发表于 2018-12-23 16:53 来自手机
我去那里简单的了,好难
hbwazxf 发表于 2018-12-23 19:33
楼主牛……。学习………………
hengbohappy 发表于 2018-12-23 20:39
讨论交流,吾爱破解论坛有你更精彩!
ChinaF 发表于 2018-12-23 21:57
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-28 16:00

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表